Attaque des pirates informatiques contre le développement de vaccins : voici les dernières attaques

Il y a quelques jours, IBM avait identifié une campagne mondiale de phishing qui visait et vise toujours les entreprises et organisations impliquées dans le développement de la chaîne du froid pour distribuer des vaccins contre le Sars-CoV-2, un élément clé de la chaîne d’approvisionnement mondiale. Ce n’est que le dernier chapitre de ce que CybergON dit avoir été, ces derniers mois, une cyberguerre déclenchée sur la propriété intellectuelle et l’information tournant autour du développement et des tests de vaccins par de nombreuses entreprises, institutions et laboratoires dans le monde. Selon le rapport 2020 de l’Enisa, l’Agence européenne chargée de la sécurité des réseaux et de l’information, l’espionnage est à l’origine de 20 % des violations de données et a connu une augmentation significative entre juillet et novembre, lorsque la spéculation sur les vaccins anti-Covid est devenue plus intense. À la fin de l’automne, les dirigeants de sociétés pharmaceutiques telles que Pfizer et Moderna ont annoncé leur intention de commencer à administrer les vaccins dans différents pays, de la Grande-Bretagne aux États-Unis.

Vaccins, une vague de cyberattaques, les experts mettent en garde

par

Alessandro Longo

03 décembre 2020

CybergON a donc retracé le chemin parcouru par les groupes criminels qui planifient des attaques contre les entreprises pharmaceutiques et les laboratoires de recherche plus ou moins depuis le printemps dernier, c’est-à-dire depuis que les médias ont commencé à parler en termes plus concrets et circonstanciels de vaccins, de calendrier et de perspectives. Trois pays sont impliqués dans des tentatives d’exfiltration de données, du moins jusqu’à présent. Trois géants de la cyberguerre sur les fronts les plus divers : la Russie, la Chine et la Corée du Nord.

L’objectif des opérations rapportées au fil des mois a été double. D’une part, les groupes liés à la Russie et à la Chine étaient intéressés par les résultats des expériences menées dans d’autres pays et par leur comparaison avec leurs propres solutions. En revanche, notamment dans le cas du régime coréen, l’objectif était de supprimer les brevets et les indications de production afin de les développer de manière indépendante. « Ainsi émerge la planification criminelle minutieuse qui met à rude épreuve les agences de renseignement telles que la NSA américaine et le Ncsc britannique, engagées dans la protection de ressources plus délicates et les reléguant de plus en plus au rôle de pions dans un jeu déjà prédestiné », lit-on dans une note signée par CybergON.

Attaque de pirates informatiques contre l’Ema, violation des documents relatifs au vaccin Pfizer

09 décembre 2020

Si 38% des cybercriminels sont financés par le pays d’origine et ses services de renseignement, les intérêts des cybercriminels sont cependant aussi économiques, c’est-à-dire qu’ils sont conçus dans l’intention d’exiger des rançons après le vol d’informations sensibles et leur vente par les nombreux canaux du web noir. Même l’Agence européenne des médicaments (EMA), qui est sur le point d’autoriser le médicament Pfizer-BioNTech dans les pays de l’UE, a fait l’objet d’une cyber-attaque au cours de laquelle certains documents relatifs au vaccin en question ont été volés, notamment ceux concernant la demande d’autorisation de mise sur le marché.

En mai, alors que la grande majorité des découvertes étaient encore au stade préclinique ou tout au plus dans la première phase sur quelques volontaires, la toile noire était déjà peuplée de faux vaccins vendus aux États-Unis pour 400 dollars et de litres de plasma provenant de patients atteints de Covid-19 pour 1 700 dollars. Mais c’est le 16 juillet dernier que la première véritable attaque contre divers laboratoires américains, britanniques et canadiens a été menée par le célèbre groupe Cozy Bear, également connu sous le nom d’Apt29 (Advance Persistent Threat), qui selon de nombreux analystes est une expression des services de Moscou. Une opération menée avec un modus operandi différent de celui du passé, qui consistait en des attaques de harponnage avec des liens malveillants et en des vols de lettres de créance réutilisées pour des mouvements latéraux ultérieurs. Dans cette nouvelle campagne d’attaque, le groupe a exploité les vulnérabilités de systèmes tels que CVE-2019-19781 Citrix et CVE-2019-11510 Pulse Secure VPN.

Puis, le 21 juillet 2020, une autre attaque a été enregistrée, cette fois apparemment d’origine chinoise : Jiazhi Dong, 33 ans, et Xiaoyu Li, 34 ans, ont pris pour cible les serveurs de certaines entreprises impliquées dans le développement et la recherche de vaccins, cherchant, dans ce cas sans succès, des vulnérabilités à exploiter. Ces deux criminels engagés par les services de renseignement chinois (le régime permet à des groupes comme Apt10 ou Apt42 ou à des pirates informatiques individuels de s’enrichir grâce à leurs crimes numériques à condition de remettre des informations précieuses à la cause nationale) ont un long passé : il y a 11 ans, ils ont déjà réussi à voler un grand nombre de brevets industriels à des entreprises espagnoles, néerlandaises, britanniques, suédoises, allemandes et japonaises, pour une valeur de plusieurs centaines de millions de dollars.

Le 13 novembre dernier, c’est plutôt Microsoft qui a dénoncé une série d’attaques de la Russie et de la Corée du Nord, toujours contre des laboratoires et des usines de production de vaccins en essais cliniques aux États-Unis, (pendant des mois dans la ligne de mire également en ce qui concerne les structures hospitalières), au Canada, en France, en Corée du Sud et en Inde. Dans ce cas, il s’agissait d’une vague d’actions de « force brute » ou de « pulvérisation de mots de passe », des techniques permettant de forcer les mots de passe et l’accès aux systèmes, contre sept entreprises. L’accusé était le groupe russe connu sous le nom de Fancy Bear (Apt28, que Microsoft classe sous le nom de Strontium) impliqué dans une myriade d’opérations similaires. Deux autres seraient plutôt le groupe Lazarus de Corée du Nord et un groupe que le géant de Redmond a identifié comme Cérium en plus du groupe Zinc. Ces trois acronymes ont cependant choisi d’autres voies pour leurs actions basées sur le « spear-phishing », c’est-à-dire une escroquerie véhiculée par e-mail (ou autres canaux de messagerie) adressée à une personne, une organisation ou une entreprise spécifique, dans laquelle l’expéditeur s’attribue un « masque » différent à chaque fois. Dans ce cas, l’expéditeur se déguise également en cadre supérieur de l’Organisation mondiale de la santé.

À cette occasion, Microsoft avait demandé aux dirigeants mondiaux de faire preuve de prudence sur ce front également, et de présenter un front uni « pour la sécurité de nos établissements de santé » ainsi que pour faire appliquer « la loi contre les cyberattaques qui visent ceux qui s’efforcent de nous aider tous ». Un appel également réitéré par le président du groupe, Brad Smith, lors du dernier Forum pour la paix à Paris s’est conclu le 13 novembre.

Puis, le 27 novembre, ce fut le tour de l’attaque contre AstraZeneca, une société britannique sur laquelle l’Union européenne a beaucoup misé en commandant 400 millions de doses. « Les criminels nord-coréens ont ciblé les employés en exploitant des techniques d’ingénierie sociale – explique le rapport – en particulier, les criminels ont proposé, via LinkedIn ou WhatsApp, des emplois spécialisés pour lesquels la personne concernée » a été invitée à fournir « des informations sensibles qui seraient réutilisées plus tard pour franchir le périmètre de l’entreprise ». Au milieu, début décembre, nous avons aussi abouti à Irbm, la société de Pomezia qui a collaboré avec le géant pharmaceutique.

Le 3 décembre, c’était au contraire le tour des opérations contre ceux qui travaillent dans la chaîne du froid nécessaire au transport des vaccins : c’est peut-être l’un des aspects les plus inquiétants et les plus risqués, dans le cas du vaccin Pfizer (qui doit être maintenu à des températures comprises entre -60 et -86 degrés Celsius) mais aussi d’autres qui doivent être expédiés à des températures plus basses mais toujours réfrigérés. En cas d’attaque réussie, les criminels pourraient exiger des rançons très élevées pour empêcher l’arrêt des systèmes de refroidissement.

La dernière étape de cette attaque récente mais intense contre les vaccins a eu lieu le 10 décembre dernier, lorsque certains serveurs Ema ont été attaqués. « Sars-Cov-2 n’a pas seulement numérisé des pays entiers mais a aussi brouillé les cartes sur la table des puissances mondiales qui s’opposent dans une « cyber » guerre faite de vulnérabilités et de données sensibles – conclut le rapport de l’unité commerciale d’Elmec Informatica dédiée à la cybersécurité – le fameux pacte de non-agression cybernétique signé en 2015 entre le président américain de l’époque Barack Obama et le Chinois Xi ne semble plus qu’un lointain souvenir ».

Sujets

Hot news

Groenland, des scientifiques découvrent un phénomène dans les glaciers qui accélère la fonte

Crédit : Jean-Christophe ANDRE, Pixabay, 3932513Les glaciers, du moins ceux du Groenland, semblent être beaucoup plus sensibles au réchauffement des eaux et sont parmi...

WandaVision : Paul Bettany a révélé les détails du quatrième épisode

WandaVision surprend les fans à chaque épisode. Récemment, Paul Bettany a parlé du quatrième épisode, le prochain à paraître. WandaVision a commencé la phase 4...

Henry Cavill est de retour sur le plateau du film Le Sorcier !

Après la grave blessure qu'il a subie il y a quelques mois, Henry Cavill est finalement revenu sur le plateau de la deuxième saison...

Marvel Studios a prévu de relancer The Punisher avec Jon Bernthal

Les droits étant déjà entre les mains de Marvel Studios, le studio a prévu de rediffuser The Punisher, mais avec Jon Bernthal à bord. Sans...

Un amas de galaxies s’est formé il y a 13 milliards d’années, aujourd’hui découvert par les scientifiques

Il a été nommé LAGER-z7OD1 et est le premier "protocluster" de galaxies jamais découvert, certainement l'un des plus anciens puisque ce que les scientifiques...

A ne pas manquer

Le sorcier : la préquelle a déjà trouvé son protagoniste

The Witcher, la série à succès de Netflix, aura une préquelle sur la plateforme et a déjà signé son protagoniste. The Witcher est l'un...

Groenland, des scientifiques découvrent un phénomène dans les glaciers qui accélère la fonte

Crédit : Jean-Christophe ANDRE, Pixabay, 3932513Les glaciers, du moins ceux du Groenland, semblent être beaucoup plus sensibles au réchauffement des eaux et sont parmi...

WandaVision : Paul Bettany a révélé les détails du quatrième épisode

WandaVision surprend les fans à chaque épisode. Récemment, Paul Bettany a parlé du quatrième épisode, le prochain à paraître. WandaVision a commencé la phase 4...

Henry Cavill est de retour sur le plateau du film Le Sorcier !

Après la grave blessure qu'il a subie il y a quelques mois, Henry Cavill est finalement revenu sur le plateau de la deuxième saison...